Ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) lebt von klaren Zuständigkeiten. Genau das fordert ISO/IEC 27001 in Control 5.2: Die Aufgaben und Verantwortlichkeiten rund um Informationssicherheit müssen eindeutig festgelegt, dokumentiert und kommuniziert sein. Nur so wird aus einem Regelwerk gelebte Sicherheitspraxis. Ob Informationssicherheitsbeauftragte, IT-Fachbereiche oder Management – jeder muss wissen, was zu tun ist. In diesem Beitrag zeigen wir praxisnah, warum dieses Control so entscheidend ist, wie Unternehmen Informationssicherheitsrollen in einer Sicherheitsorganisation effektiv umsetzen und welche Risiken drohen, wenn Verantwortlichkeiten fehlen oder unklar bleiben. Auch die Verknüpfung zu NIS-2, CRA und DSGVO wird aufgezeigt.
Inhaltsverzeichnis
- Was fordert ISO 27001 Control 5.2 konkret?
- Was ist mit „Informationssicherheitsrollen“ gemeint?
- Ziele des Controls
- Checkliste: So definieren Sie Informationssicherheitsrollen und -verantwortlichkeiten
- Risiken ohne klare Informationssicherheitsrollen und -verantwortlichkeiten
- So setzen Sie die Informationssicherheitsrollen praktisch um
- Dokumentation und Umsetzung im ISMS
- Relevanz der Informationssicherrollen für DSGVO, NIS-2 & Co
- Fazit – Informationssicherheitsrollen und -verantwortlichkeiten
- FAQ: Informationssicherheitsrollen und -verantwortlichkeiten
Was fordert ISO 27001 Control 5.2 konkret?
Die Informationssicherheitsrollen und -verantwortlichkeiten müssen:
- klar definiert sein (z. B. für Informationssicherheitsbeauftragte, IT, Fachbereiche),
- den Unternehmensbedürfnissen entsprechen (z. B. in KMU anders als in Konzernen),
- formal zugewiesen werden (z. B. per Stellenbeschreibung, Organigramm, schriftlicher Beauftragung),
- allen Betroffenen bekannt sein (z. B. durch Kommunikation, Schulung, ISMS-Handbuch),
- regelmäßig überprüft und bei Bedarf angepasst werden (z. B. bei Umstrukturierungen oder neuen gesetzlichen Anforderungen).
In einfachen Worten: Es muss ganz klar sein, wer im Unternehmen wofür in der Informationssicherheit verantwortlich ist.
Was ist mit „Informationssicherheitsrollen“ gemeint?
Informationssicherheitsrollen sind festgelegte Aufgabenbereiche rund um den Schutz von Informationen. Dazu gehören z. B.:
- der oder die Informationssicherheitsbeauftragte (intern oder extern),
- Rollen für Risikoanalyse, Schulung, Dokumentation,
- Fachverantwortliche in den Abteilungen,
- IT-Sicherheitsverantwortliche,
- oder auch die Geschäftsführung, die die Gesamtverantwortung trägt.
Diese Rollen müssen nicht nur existieren, sondern auch mit klaren Zuständigkeiten, Befugnissen und Ressourcen ausgestattet sein.
Ziele des Controls
- Verantwortung klären: Jeder weiß, was zu tun ist und wer wofür zuständig ist.
- Effizienz und Reaktionsfähigkeit: Bei Sicherheitsvorfällen ist klar, wer handelt.
- Rechtskonformität: Viele Gesetze (z. B. DSGVO, NIS-2) verlangen explizite Zuständigkeiten.
- Vorbereitung auf Audits und Zertifizierungen: Klare Rollen sind ein Muss für die ISO 27001-Zertifizierung.
Checkliste: So definieren Sie Informationssicherheitsrollen und -verantwortlichkeiten
Damit die Informationssicherheitsrollen und -verantwortlichkeiten wirksam definiert sind und den Anforderungen der ISO/IEC 27001 (Control 5.2) entsprechen, müssen sie bestimmten praktischen Mindestanforderungen genügen.
| ✅ | Anforderung |
| ☑ | Es gibt eine dokumentierte Beschreibung der Sicherheitsrollen (z. B. Informationssicherheitsbeauftragter, IT-Security, Fachbereiche). |
| ☑ | Die Aufgaben und Befugnisse sind klar abgegrenzt und nachvollziehbar dokumentiert. |
| ☑ | Die Rolleninhaber sind namentlich benannt (z. B. im ISMS, Organigramm, Verantwortlichkeitsmatrix). |
| ☑ | Alle Rollen wurden durch das Management formell beauftragt. |
| ☑ | Die Mitarbeitenden wurden über ihre Aufgaben und Zuständigkeiten informiert. |
| ☑ | Bei Neueintritten, Rollenwechseln oder Umstrukturierungen erfolgt eine Überprüfung. |
| ☑ | Die Rollen werden regelmäßig evaluiert und aktualisiert. |
Risiken ohne klare Informationssicherheitsrollen und -verantwortlichkeiten
Fehlen im Unternehmen klar definierte Informationssicherheitsrollen und -verantwortlichkeiten, entstehen erhebliche Risiken – sowohl organisatorisch als auch technisch und rechtlich:
- Unklare Zuständigkeiten führen dazu, dass Sicherheitsvorfälle verzögert oder gar nicht bearbeitet werden.
- Sicherheitslücken entstehen, wenn Aufgaben nicht zugewiesen sind oder im Alltag untergehen.
- Abteilungsübergreifende Konflikte können auftreten, wenn Verantwortlichkeiten nicht sauber voneinander abgegrenzt sind.
- Auditfeststellungen sind vorprogrammiert, wenn Zuständigkeiten nicht dokumentiert oder nachvollziehbar sind.
- Rechtliche Risiken steigen, da Gesetze wie die DSGVO oder NIS-2 explizite Zuständigkeitsregelungen verlangen (z. B. Art. 32 DSGVO, Governance-Vorgaben nach NIS-2).
So setzen Sie die Informationssicherheitsrollen praktisch um
| Maßnahme | Beschreibung |
| Rollen identifizieren | Welche sicherheitsrelevanten Aufgaben gibt es im Unternehmen? |
| Rollen beschreiben | Aufgaben, Kompetenzen, Schnittstellen schriftlich festlegen. |
| Verantwortliche benennen | Konkret benennen, wer welche Rolle innehat. |
| Managementbeauftragung | Formelle Beauftragung durch die Geschäftsführung. |
| Kommunikation | Zuständigkeiten im Unternehmen bekannt machen (z. B. ISMS-Portal, Intranet, Schulungen). |
| Integration ins ISMS | Verantwortlichkeiten im ISMS dokumentieren und referenzieren (z. B. SoA, Rollenmatrix). |
| Regelmäßige Prüfung | Im Rahmen von Audits, Reviews oder bei Organisationsänderungen. |
Dokumentation und Umsetzung im ISMS
Im Rahmen des Informationssicherheitsmanagementsystems (ISMS) müssen Informationssicherheitsrollen und -verantwortlichkeiten nachweislich dokumentiert und aktiv umgesetzt sein. Sie bilden einen zentralen Bestandteil der ISO/IEC 27001-konformen Dokumentationsstruktur. Folgende Punkte sind dabei wesentlich
- Rollenbeschreibung und Organigramm: Klar definierte Verantwortlichkeiten in dokumentierter Form.
- Verantwortlichkeitsmatrix (RACI): Wer ist verantwortlich, wer muss informiert werden etc.
- Referenz im Statement of Applicability (SoA): Dokumentation der Umsetzung von Control 5.2.
- Verknüpfung mit weiteren Prozessen: Incident Response, Risikomanagement, Notfallmanagement.
- Auditnachweis: Alle Rollen und Zuständigkeiten müssen nachvollziehbar dokumentiert und belegbar sein.
Relevanz der Informationssicherrollen für DSGVO, NIS-2 & Co
DSGVO (Datenschutz-Grundverordnung)
- Art. 32 DSGVO verlangt klare Zuständigkeiten für Sicherheit und Datenschutz.
- Externer Datenschutzbeauftragter und Informationssicherheitsbeauftragter müssen zusammenarbeiten, Rollen müssen trennscharf definiert sein.
NIS-2-Richtlinie & NIS-2-Umsetzungsgesetz:
- Klare Verantwortlichkeiten für Cybersicherheit sind Pflicht.
- Leitungsebene wird für Governance und Zuständigkeiten direkt in die Pflicht genommen.
CRA (Cyber Resilience Act):
- Verantwortlichkeiten müssen auch im Entwicklungsprozess von Produkten definiert sein.
- Rolle der Sicherheitsverantwortlichen in der Produktentwicklung ist entscheidend.
DORA:
- In der Finanzbranche müssen Rollen und Zuständigkeiten für ICT-Risiken klar dokumentiert sein.
- Governance-Strukturen sind Grundlage für regulatorische Resilienzanforderungen.
Fazit – Informationssicherheitsrollen und -verantwortlichkeiten
Ohne klar geregelte Sicherheitsorganisation kann ein Informationssicherheitsmanagementsystem (ISMS) weder wirksam noch auditfähig betrieben werden. Zuständigkeiten sind das Rückgrat jeder Sicherheitsorganisation – sie schaffen Verbindlichkeit, ermöglichen effiziente Abläufe und erhöhen die Resilienz gegenüber Sicherheitsvorfällen.
Control 5.2 sorgt dafür, dass alle sicherheitsrelevanten Aufgaben im Unternehmen benannt, dokumentiert und mit passenden Ressourcen ausgestattet sind. Wer dieses Control gewissenhaft umsetzt, erfüllt nicht nur zentrale Anforderungen der ISO/IEC 27001, sondern schafft Ordnung, Vertrauen – und die Grundlage für auditfähige, gesetzeskonforme Informationssicherheit.
FAQ: Informationssicherheitsrollen und -verantwortlichkeiten
Die Rollen in der Sicherheitsorganisation werden vom ISMS-Team oder Informationssicherheitsbeauftragten definiert und durch das Management genehmigt..
Für eine ISO 27001-Zertifizierung: ja. Es kann auch ein externer Informationssicherheitsbeauftragter eingesetzt werden.
Das hängt von der Unternehmensgröße ab. Wichtig ist: Alle sicherheitsrelevanten Aufgaben sind in der Sicherheitsorganisation abgedeckt.
Mindestens einmal jährlich oder bei wesentlichen Änderungen.
Es drohen Interessenskonflikte. Die Rollen sollten einer dokumentierten Risikoanalyse unterzogen werden.
Durch Stellenbeschreibungen, Organigramme, Leitlinien zur Informationssicherheit, ISMS-Dokumentation und Managementbeauftragungen
Zentrale: NIS-2 fordert explizite Governance- und Verantwortlichkeitsstrukturen. Control 5.2 liefert hierfür die Basis.
Er kann Rollen fachlich bewerten, dokumentieren und in die ISMS-Struktur integrieren – besonders für kleinere Organisationen hilfreich.
Der IT-Sicherheitsbeauftragte fokussiert sich stärker auf technische Maßnahmen, während der Informationssicherheitsbeauftragte strategisch-organisatorisch das gesamte ISMS verantwortet.
Der Datenschutzbeauftragte arbeitet eng mit dem ISB zusammen, insbesondere bei der Umsetzung von Art. 32 DSGVO. Die Rollen sollten jedoch inhaltlich und organisatorisch getrennt sein.
Ja, auch externe Rollen sollten in der Verantwortlichkeitsmatrix bzw. im ISMS-Organigramm dokumentiert werden.
Strategieberatung, Dokumentation, Schulungen, Auditvorbereitung, Risikoanalysen – er agiert als verlängerter Arm des Managements.
Das führt häufig zu Auditfeststellungen, ineffizienter Sicherheitsorganisation und rechtlichen Risiken – vor allem nach NIS-2
Unter anderem: DSGVO (Art. 32), NIS-2, DORA, IT-Sicherheitsgesetz – alle verlangen dokumentierte Verantwortlichkeiten.
Durch regelmäßige interne Audits, Rückmeldungen aus Fachbereichen und Auswertung von Sicherheitsvorfällen.
Ein Werkzeug, um Rollen übersichtlich darzustellen: Wer ist verantwortlich (R), wer muss zustimmen (A), wer wird konsultiert (C), wer informiert (I)?
Ein ISMS stellt sicher, dass Rollen nicht nur definiert, sondern auch gepflegt, kommuniziert und regelmäßig überprüft werden.
Über Stellenbeschreibungen, Verantwortlichkeitsmatrizen, Protokolle der Managementbeauftragung und Schulungsnachweise
Je nach Kritikalität können mittelgroße Unternehmen unter das NIS-2 Umsetzungsgesetz fallen – klare Rollen sind dann Pflicht.
